Für eine erste Bewertung des Datenschutzniveaus eignet sich das Bewertungsschema des Standard Datenschutz-Modells (SDM). Dieses bietet die Möglichkeit, eine datenschutzrechtliche Erstbewertung von digitalen Tools in einem spezifischen Anwendungskontext vorzunehmen, um im Anschluss eine Einzelfallprüfung mit den für Datenschutz beauftragten Instanzen vorzunehmen.
Disclaimer: Dieser Artikel soll eine Orientierung im Umgang mit Datenschutzanforderungen bieten. Die Informationen erheben keinen Anspruch auf Vollständigkeit. Eine individuelle, fallbezogene Prüfung sowie das Einholen einer fundierten, juristischen Beurteilung ist daher unabdingbar.
Standard Datenschutz-Modell
Das Standard Datenschutz-Modell beschreibt sieben Gewährleistungsziele:
- Sicherung der Verfügbarkeit: Daten müssen beispielsweise auffindbar, verarbeitbar und darstellbar sein.
- Sicherung der Integrität: Daten müssen unversehrt, vollständig und aktuell sein.
- Sicherung der Vertraulichkeit: Nur berechtigte Personen, intern wie extern, dürfen Zugriff auf die Daten haben.
- Transparenz: Es muss für Dritte erkennbar sein, welche Daten für welchen Zweck erhoben und verarbeitet werden, wie dies geschieht und wohin die Daten übertragen werden und wer die Verantwortung über die Daten hat
- Intervenierbarkeit: Datenverarbeitende Stellen müssen den Nutzern jederzeit Rechenschaft über die erhobenen Daten geben können und die Rechte der Nutzer beispielsweise Löschung oder Korrektur umsetzen können.
- Nicht-Verkettbarkeit: Daten dürfen nicht verknüpfbar sein. Für den Zweck, für den sie erhoben wurden, dürfen sie verarbeitet und ausgewertet werden. Weiterverarbeitungen sind gesetzlich definiert und streng reglementiert.
- Datenminimierung: Datenminimierung muss gewährleistet werden, indem ständig geprüft wird, ob die erhobenen Daten allesamt notwendig sind oder weniger Daten erhoben werden können. Aber auch die Automatisierung von Prozessen sowie der Einsatz von Anonymisierungsverfahren zählen hierzu.
Landesspezifische Handlungsempfehlungen zum Datenschutz am Beispiel Niedersachsen: Auf den Seiten der Landesbeauftragten für Datenschutz Niedersachsen finden sich Merkblätter und Handlungsempfehlungen, zum richtigen Vorgehen zum Thema Datenschutz, im speziellen auch für Datenschutzfragen an Hochschulen.
Anwendungskontext des Datenschutzes am Beispiel des Wissens- und Technologietransfers niedersächsischer Hochschulen: Wichtig zur datenschutzrechtlichen Bewertung von digitalen Tools und Software an Hochschulen ist der Anwendungskontext, dieser ergibt sich z.B. für den Wissens- und Technologietransfer unter anderem aus dem Niedersächsischen Hochschulgesetz (NHG), §3, (1), 4: Förderung des Wissens- und Technologietransfer.
Wichtig zu wissen ist, das sich mit Änderung des Zwecks der Datenverarbeitung entsprechend die Rechtsgrundlage ändern kann. Für die Praxis bedeutet dies, dass abteilungsübergreifend unterschiedliche Rechtsgrundlagen und Regelungen gelten können. Eine individuelle, fallbezogene Prüfung und Bewertung des Datenschutzniveaus ist daher unabdingbar.
Ihr wollt noch mehr zum Thema Datenschutz erfahren? Infos rund um das Thema DSGVO-Konformität findet Ihr hier.
